W momencie kiedy niechcący odznaczymy OU z synchronizacji w AD Connect, bo robimy filtrowanie, itp. (może być słabo :D) i taka zmiana zostałaby wprowadzana, to co Nas czeka? Po pierwsze zerknąłbym do konsoli Synchronization Service Manager’a lub Powershella i zobaczył, kiedy poszła synchronizacja :). Później sprawdziłbym jakie typu obiektów były w tym OU.
Standardowo w Azure AD ustawiona jest polityka Deletion Treshold na 500 obiektów maximum, czyli w momencie kiedy jest więcej niż 500 obiektów do usunięcia to AD Connect nie zrobi eksportu do Azure AD i wyświetli komunikat, że została przekroczona maksymalna liczba obiektów (w Synchronization Service Manager będzie status stopped-deletion-threshold-exceeded), które mogą być usunięte. Ufff… ale… co jeśli obiektów było 499?
Administrator otrzyma również email z ostrzeżeniem:
Hello (technical contact). At (time) the Identity synchronization service detected that the number of deletions exceeded the configured deletion threshold for (organization name). A total of (number) objects were sent for deletion in this Identity synchronization run. This met or exceeded the configured deletion threshold value of (number) objects. We need you to provide confirmation that these deletions should be processed before we will proceed. Please see the preventing accidental deletions for more information about the error listed in this email message.
To w tym momencie może być słabo (a administrator może już przygotowywać napar z melisy), ponieważ te obiekty w momencie kiedy przejdzie delta sync do chmury zostaną usunięte, co oznacza, że będą w koszu po stronie Office 365 🙂 i oczywiście nie wyparowały na dobre.
Wystarczy, że naprawimy błąd i włączymy synchronizację danego OU w AD Connect i teoretycznie po wymuszeniu replikacji wszystko powinno wrócić do normy, ale…
Jeśli usunięty obiekt z Office 365 to konto użytkownika, grupa dystrybucyjna, grupa zabezpieczeń to w momencie ponownej synchronizacji obiekt jest odtworzony i wszystko działa, tak jak przed awarią.
Jeśli obiekt, który był usunięty to skrzynka współdzielona lub skrzynka zasobowa to może być problematycznie, ponieważ uprawnienia do zasobów mogą od razu nie zadziałać, co oznacza, że w Outlookach skrzynka współdzielona może zniknąć i nie pojawić się przez „x” czasu – zaobserwowane w produkcji, że może to potrwać nawet do 3-4 godzin.
Politykę Deletion Threshold możemy kontrolować z poziomu Powershella.
W momencie kiedy planujemy większe porządki od strony lokalnego AD, wypadałoby zdjąć politykę:
Import-Module ADSync
Disable-ADSyncExportDeletionThreshold
Oczywiście po przeprowadzeniu porządków trzeba włączyć ponownie politykę:
Import-Module ADSync
Enable-ADSyncExportDeletionThreshold -DeletionThreshold $number
Piotr Pawlik blog 